Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SAP-Verbindungen / Astaro Flow Classifier

Hallo zusammen,

wir haben ein kleines Problem, wir haben mehrere Auslandsstandorte welche sich auf unsere SAP-Server verbinden.

Vor einigen Tagen haben wir in unserer ASG 425 die Filter-Funktion für IM/P2P eingeschalten und für alle Protokolle "Block" eingestellt.

Erst waren wir sehr überrascht, dass die Astaro Verbindungen von Tencent QQ, MSN und Google-Talk feststellt, kurze Zeit später stellte sich jedoch heraus, dass fälschlicherweise die Verbindung der Clients im Ausland zu den SAP-Server erkannt und geblockt wurde.

Dadurch entstanden leider mehrer Verbindungsabbrüche der betroffenen Clients.

Hatte jemand schon ein ähnliches Problem mit fälschlich erkannten IM/P2P-Protokollen?
Von den Einstellmöglichkeiten her kann man in diesem Unterpunkt ja nicht so viel falsch machen, von daher denke ich mal dass die Einstellungen passen sollten.

Vielen Dank schonmal im voraus.
Chris


PS: falls es was nützt hier noch ein Eintrag vom Log
2008:11:17-15:19:56 (none) ulogd[5489]: id="2019" severity="info" sys="SecureNet" sub="packetfilter" name="AFC Block" action="drop" fwrule="60104" outitf="unknown" srcip="***ClientIP***" dstip="***ServerIP***" proto="6" length="673" tos="0x00" prec="0x00" ttl="126" srcport="1383" dstport="3200" tcpflags="ACK PSH"


This thread was automatically locked due to age.
Parents
  • das gibt es scheint's immer wieder mal: RDP wurde/wird auch als WINNY klassifiziert und (bei entsprechender einstellung) geblockt; etracker (website-statistics) sind angeblich bittorrent, oracle finance ist auch irgendwas...
    meine exclusion lists fuellen sich!
    gruss
  • Hallo AMros,

    vielen Dank für deine Antwort.


    Das ist natürlich schade, das feature hätte ich gerne genutzt, allerdings ist das natürlich nicht tragbar dass man wieder die Clients vom produktiven System kickt...

    Gruß Chris
  • Hi,

    das klingt ja gar nicht erfreulich...

    Wir gehen auch fürs SAP durch unsere Astaro. Und wir wollen, auch bestärkt durch unsere GF, bei IM/P2P alles blocken lassen.

    Allerdings verbinden wir uns nur zu einem SAP-System und haben kein Eigenes. Sind da Probleme bekannt? Haben derzeit für die SPA-Sachen ein/zwei PFRs und sonst nix.

    Für Hinweise bin ich dankbar.
    -- 
    MfG, Steffen
  • keine erfahrungen - aber ob/wie das funktioniert kannst du einfach ausprobieren; wenn dann was geblockt wird, zeigen das die AFC-logs
    dann ggf. das ziel auf die exclusion list und gut is; wir nutzen IM/P2P control auch trotz der false positives..
    a.
  • Hi AMros,

    ist zwar schon eine Weile her deine Antwort aber erst jetzt kann ich sagen: "Wir sind am 'testen'."

    Mal sehen, wie v7 reagiert. Der AFC hat bspw. schon DNS-Pakete als IM gewertet... aber nicht weiter kritisch.

    MfG, Steffen
  • [...verstehe noch alles aber auf Englisch kann ich mich besser ausdrücken...]

    Why not put the client networks and/or the SAP hosts into the 'Control skip-list' on the 'Advanced' tab of 'IM/P2P >> Settings'?  

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • [...verstehe noch alles aber auf Englisch kann ich mich besser ausdrücken...]

    Why not put the client networks and/or the SAP hosts into the 'Control skip-list' on the 'Advanced' tab of 'IM/P2P >> Settings'?  

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • Hi,

    ich verstehe nicht so ganz was es bringen soll die clients auf eine "Control-Skip-List" zu packen...

    Ich setze den AFC doch ein um zu erkennen ob und welche Clients solche IM/P2P -Dienste nutzen, was habe ich dann davon wenn ich die Clients von der Prüfung ausschließe?

    Mag ja sein dass ich das falsch verstehe, aber bei uns hat fast jeder Client SAP-Zugang und benötigt diesen auch, also müsste ich fast alle Clients ausnehmen und dann kann ich den AFC ja auch gleich wieder abschalten...

    Gruß Chris
  • wer sagt, das die CLIENTS excluded werden muessen - nimm die SERVER, dann sind die clients geschuetzt;
    und von den SAP servern sind wohl kaum P2P sessions zu erwarten...
    rgds,a.
  • Hi,

    aaaah ok, also doch ein Denkfehler meinerseits... [;)]

    Hab die Server mal excluded und werd das mal weiter beobachten.

    Danke dir vielmals.

    Gruß Chris